Cron korlátozás

Debian GNU/Linux

Cron korlátozás

  • 635 megtekintés

( anr | 2005. 06. 23., cs – 16:45 )

[quote:7ce604d525="Beanie"]
szóval szerintem a cron meg crontab binárisok jogaival kell babrálni inkább. Ja, meg igaz, hogy ez FreeBSD manpage, de úgy emlékszem, hogy Linuxon is hasonlóan van.

A binaris jogaival valo babralas csak akkor eredmenyes, ha a home es a tmp noexec-el van mountolva. kulonben az user tesz fel sajat binarist es az megcsinalja neki. a crontab parancs nem suid-os, csak suid group-os, ami csak annyit tesz, hogy megfelelo csoportal jojjon letre a file.

( E-Medve v | 2005. 06. 23., cs – 13:20 )

Hali

Van valakinek otlete arra, hogy lehet beloni a Debiant, hogy 1000-es UID folott ne lehessen cronjobot adni a rencernek?

A manualban egyelore nem leltem semmi okossagot erre vonatkozolag.

E-Medve

( anr | 2005. 06. 23., cs – 13:48 )

[quote:0467ad5fc9="E-Medve"]Hali

Van valakinek otlete arra, hogy lehet beloni a Debiant, hogy 1000-es UID folott ne lehessen cronjobot adni a rencernek?

A manualban egyelore nem leltem semmi okossagot erre vonatkozolag.

E-Medve

hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.

( E-Medve v | 2005. 06. 23., cs – 13:52 )

[quote:40ce0e4c78="anr"]hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.

Elsore en is ezen gondolkodtam, de van vagy 3-4 ezer ldap user es 2-300 gep... mondjuk for ciklust lehetne ra irni, de ez nem tul elegans...

( Beanie | 2005. 06. 23., cs – 13:56 )

[quote:f7a6bed2a0="anr"]
hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.

Én amennyire tudom, a crontab parancsban kapcsolóval meg lehet adni más crontab útvonalat is, tehát mondjuk pistike 1005-ös uid-al megadhatja, hogy neki mondjuk /home/pistike/crontab alatt legyen a crontab fájlja, és ne /var/spool/cron/crontabs alatt.
Én mondjuk azt csinálnám, hogy csinálok egy cron groupot és abba teszem akiknek engedem, hogy használják a cront, és a world-exec jogot meg leszedem, chgrp-zem cron groupra, és group-exec jogot adok neki.

( E-Medve v | 2005. 06. 23., cs – 13:58 )

[quote:1128f86287="Beanie"]Én mondjuk azt csinálnám, hogy csinálok egy cron groupot és abba teszem akiknek engedem, hogy használják a cront, és a world-exec jogot meg leszedem, chgrp-zem cron groupra, és group-exec jogot adok neki.

Ez egy fokkal használhatóbbnak tunik...

( cln | 2005. 06. 23., cs – 14:21 )

Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?

ELaci

( E-Medve v | 2005. 06. 23., cs – 14:26 )

[quote:00329e7b8f="cln"]Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?

ELaci

Na erre nem gondoltam, hogy cronnak is vannak ilyen okossagai... akkor a cron.allow-ba beirom, hogy root, a cron.deny-be meg hogy ALL es akkor csak a root tud majd cronolni, ami jelenesetben szerintem eleg lenne...

( Beanie | 2005. 06. 23., cs – 14:27 )

[quote:3f42e45530="cln"]Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?

ELaci

Nekem spec. nincsenek ilyen fájlok, igaz FreeBSD-t használok, nem Linuxot.

( cln | 2005. 06. 23., cs – 14:31 )

Nekem spec. nincsenek ilyen fájlok, igaz FreeBSD-t használok, nem Linuxot.

Ha a "man crontab" -ban szó esik az allow és deny fileokról akkor csak létre kell őket hozni és működik. Persze ezek helye nem biztos hogy a /etc -ben van. HP-UX -ban pl.: /usr/lib/cron -ban van

ELaci

( E-Medve v | 2005. 06. 23., cs – 15:09 )

Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...

Tudna valaki segiteni, hogy miket kellene probalni?
Eddig ez volt a fajlokban:

cron.allow:
root

cron.deny:
ALL

( uid_2516 | 2005. 06. 23., cs – 15:18 )

[quote:d47c1a12e1="E-Medve"]Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...

Tudna valaki segiteni, hogy miket kellene probalni?
Eddig ez volt a fajlokban:

cron.allow:
root

cron.deny:
ALL

csak az egyik file legyen.
ha .allow, akkor aki nincs felsorolva, annak tilos (root-ot is beleertve)
ha .deny, akkor aki nincs felsorolva, annak szabad

a peldadban torold a .deny-t, akkor csak a rootnak lesz

( cln | 2005. 06. 23., cs – 15:20 )

Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...

Szerintem nem úszod meg a userek felsorolását vagy az allow vagy a deny fileban. Ebben az esetben vagy csak az allow vagy csak a deny file kell.

ELaci

( E-Medve v | 2005. 06. 23., cs – 15:24 )

[quote:9c7163dd88="cln"]Szerintem nem úszod meg a userek felsorolását vagy az allow vagy a deny fileban. Ebben az esetben vagy csak az allow vagy csak a deny file kell.
ELaci

Igazandibol csak a rootnak kell tudnia futtatni, mert kliens gepek lesznek...

( E-Medve v | 2005. 06. 23., cs – 15:27 )

Nem mukszik... ha az allow-t hagyom meg es a cront ujrainditom, akkor ezt irja ki:
>>You (root) are not allowed to use this program (crontab)
>>See crontab(1) for more information

( Beanie | 2005. 06. 23., cs – 15:28 )

[quote:587481dbbb="E-Medve"]
Igazandibol csak a rootnak kell tudnia futtatni, mert kliens gepek lesznek...

Akkor ha nincs jobb szimplán chown root:wheel és a world-execet töröld, és ez biztos működik.

( cln | 2005. 06. 23., cs – 16:15 )

[quote:62e4b81011="E-Medve"]Nem mukszik... ha az allow-t hagyom meg es a cront ujrainditom, akkor ezt irja ki:
>>You (root) are not allowed to use this program (crontab)
>>See crontab(1) for more information

Valamiért nem ismeri fel hogy a root benne van az allow file-ban. Valami újsor (LF) vagy ilyesmire gondolok.

ELaci

( anr | 2005. 06. 23., cs – 16:27 )

ja ha az a feladat, hogy csak a root tudjon cron-olni, akkor trivialis.
babralj a /var/spool/cron/crontab konyvtar jogaival, hogy csak a root tudjon filet letrehozni benne;))

( Beanie | 2005. 06. 23., cs – 16:32 )

[quote:6b2f88b8ba="anr"]ja ha az a feladat, hogy csak a root tudjon cron-olni, akkor trivialis.
babralj a /var/spool/cron/crontab konyvtar jogaival, hogy csak a root tudjon filet letrehozni benne;))

CRONTAB(1) FreeBSD General Commands Manual CRONTAB(1)

NAME
crontab -- maintain crontab files for individual users (V3)

SYNOPSIS
crontab [-u user] file
crontab [-u user] { -l | -r | -e }

Itt írja a man oldal, hogy megadható más útvonal is a crontab fájlnak, szóval szerintem a cron meg crontab binárisok jogaival kell babrálni inkább. Ja, meg igaz, hogy ez FreeBSD manpage, de úgy emlékszem, hogy Linuxon is hasonlóan van.